Dans une délibération du 20 juillet 2017, la formation restreinte de la CNIL a prononcé un avertissement public à l’encontre d’une société éditant une plateforme de location de véhicules entre particuliers, pour avoir manqué à son obligation de sécurité et de confidentialité des données. Après avoir été informée en juillet 2016 d’une violation de données à partir du site de cette société, la CNIL a réalisé une première mission de contrôle en ligne qui lui a permis de constater que les données de l’ensemble des utilisateurs étaient accessibles “en modifiant la variable [département, identifiant] dans l’URL saisie dans le navigateur”. Lors du second contrôle effectué au sein des locaux de la société, la CNIL a relevé que les API (Application Programming Interface), à l’origine de cet incident, avaient été mises en production entre juillet 2012 et novembre 2013, de telle sorte que les données sont “restées librement accessibles pendant près de trois ans”. Eu égard au “volume important de personnes concernées (…), à l’étendue des données à caractère personnel rendues accessibles et à la durée de la violation”, la CNIL a décidé de rendre cet avertissement public.
Pour lire la délibération de la CNIL